Si has arribat a aquesta página, és molt probable que estiguis tinguent problemes amb la teva Web de WordPress i necessites solucions. Al nostre sector hi ha un mantra que es repeteix:
Si tens una web feta amb WordPress, no et preguntis si tindràs problemes o no, per que segur que els tindràs. Pregunta’t quants dies estaràs sense web mentre trobes algú capaç d’arreglar-la.
A InFoAL, disposem d’un equip especialitzat en allotjar, actualitzar i mantenir págines web creades amb Joomla, WordPress i Prestashop.
Avui en dia, més del 60% de les webs del món estan fetes amb WordPress, peró desgraciadament aixó no vol dir que el WordPress sigui el millor sistema per a fer webs. De fet, WordPress internament és infinitament pitjor que d’altres sistemes del mercat com Joomla, Prestashop o Magento, peró tot i aixó WordPress s’ha imposat, probablement per que és del més senzill de fer anar, i ha permés publicistes, community managers i d’altres professionals tecnológics crear moltes webs, molt depressa, i sense tenir grans coneixements tècnics, i, precisament, aquí redica l’actual problema.
Es compten per milions les pàgines web de WordPress que son hackejades a diari, es tracta d’un problema global, que ja venia donant-se des de feia mesos però l’abast del qual ha crescut exponencialment les darreres setmanes, com podreu veure les notícies següents:
- Forat de seguretat a Elementor i Wp-Cache per a WordPress afecta més de 7 milions de webs: https://unaaldia.hispasec.com/2021/03/rce-en-plugins-de-wordpress-afecta-a-mas-de-7-millones-de-sitios-web.html
- Fallada al plugin de facebook de wordpress deixa vulnerables milions de pàgines: https://unaaldia.hispasec.com/2021/03/vulnerabilidades-graves-en-el-plugin-facebook-para-wordpress.html
- 3,5 milions de webs afectades per una fallada a Woocomerce que permet el robatori de dades dels clients: https://blog.globalhost.com.ve/2021/04/22/multiples-errores-de-seguridad-ponen-en-riesgo-a-3-5-millones-de-sitios-web-de-wordpress/
- 10 milions de pàgines a WordPress i amb el plugin ContactForm 7, permeten als hackers pujar fitxers maliciosos: https://bekkos.es/gestion/announcements.php?id=45&language=english
- Vulnerabilitat critica a Jetpack per a wordpress, 5 milions de webs afectades: https://cncs.gob.do/vulnerabilidad-critica-en-plugin-jetpack-de-wordpress/
- 26 vulnerabilitats crítiques en plugins de WordPress descobertes només aquest mes de juliol: https://patchstack.com/wordpress-vulnerability/
I, si bé WordPress no és el millor sistema del món per fer webs, tal com us explicarem a continuació, els problemes actuals son causats en la seva majoria per dos factors que no son pas culpa del WordPress.
Primer: el taló d’aquiles del WordPress son els seus plugins, el 99,9% dels problemes son causats per els plugins que la gent s’instal·la i no pas per el propi WordPress.
Segón: els creadors de págines web no han explicat als clients el cost real de mantenir sempre actualitzats i en perfecte funcionament el WordPress i tots els seus plugins.
Com s’ha arribat fins aqui?
Aquells temps en que podies fer una web i deixar-la publicada a internet, i aquesta seguia funcionant per sempre sense cap problema, han passat a la història i ja no tornaran mai. Les webs, com tots els sistemes connectats a internet, requereixen constants actualitzacions de seguretat per evitar els atacs, i algú s’ha d’encarregar d’instal·lar aquestes actualitzacions. Actualitzacions dels servidors, del WordPress, i de tots els plugins.
El problema són els plugins
Els plugins s’instal·len perquè el WordPress faci coses que no permet fer de sèrie, com ara mostrar un formulari de contacte, o un slide de fotografies, o vendre productes, o crear textos en diversos idiomes. Els plugins no formen part del nucli de WordPress, ni són mantinguts per l’empresa que manté WordPress. Cada plugin té un creador diferent, i hi ha 58.691 plugins de wordpress i 8.632 plantilles. El temps ha demostrat que moltíssims dels programadors d’aquests plugins, no tenien els més mínims coneixements avançats de programació, ni de seguretat, ni administració de sistemes, i la majoria de plugins que existeixen són un autèntic nyap, amb un funcionament intern absolutament penós i ineficient, i el fet que segueixin funcionant al llarg del temps és pura sort.
Quants més plugins instal·lats a la teva web més problemes es poden ocasionar
Això passa per 3 motius
- Com has pogut veure a les notícies que us hem mostrat, cada plugin que tens instal·lat al wordpress augmenta les probabilitats de tenir problemes de seguretat. És un plugin més que cal mantenir actualitzat.
- Al estar internament tan mal fets, cada plugin instal·lat redueix la velocitat de la web, augmentant el temps que triga a carregar i la potència de hosting que has de tenir contractat perquè funcioni correctament.
- No només això, cada plugin instal·lat, augmenta exponencialment les possibilitats de que amb una actualització, la web deixi de funcionar, degut a alguna incompatibilitat amb un altre plugin.
BONA NOTÍCIA: Si tots els plugins es mantenen sempre actualitzats, els problemes disminueixen o gairebé desapareixen
Doncs aquesta és la solució. Tot propietari de tota web de wordpress, avui dia s’ha de prendre la molèstia d’entrar cada pocs dies a l’apartat d’administració (/wp-admin), instal·lar totes les actualitzacions de tots els plugins i plantilles que hi hagi, i comprovar que tot segueixi funcionant. I amb això, la immensa majoria dels problemes que han afectat milions de webs aquests darrers temps queden resolts… o gairebé. Hi ha una gran complicació que explico a continuació.
MALA NOTÍCIA: La majoria de plugins, ja no són gratuïts.
La majoria dels programadors de plugins que abans eren gratuïts, han hagut de contractar moltíssims personal i recursos per tapar tots els forats de seguretat que cada poques setmanes són descoberts als seus plugins. I és clar, ¿com poden pagar a aquests treballadors si els plugins són gratis?
Per tant, la immensa majoria dels plugins més populars, es poden instal·lar gratuïtament una vegada, però si els vols mantenir actualitzats, cal pagar una subscripció.
A continuació tens una petita llista del preu anual que tenen alguns dels plugins més populars: Plugin Revolution Slider (29 euros l’any), Plugin multiidioma WPML (79 euros l’any), plugin Page Builder WPBakery (45 euros l’any), preu mitjà d’una plantilla (60 euros a l’any), etc…
Atenció, si ets propietari de webs WordPress, no vol dir que tinguis instal·lat algun d’aquest plugins de pagament, estem parlant dels casos més comuns.
La mida del problema que tens dependrà de la traça fent pàgines web que tingués la persona que te la dissenyar. Aquests dies estem veient casos realment dramàtics. Podem entendre el desconeixement del client particular que es va fer una web ell mateix fa temps, fent servir 4 plugins i que ara es troba amb aquesta situació per sorpresa. Però és MOLT DIFÍCIL DE COMPRENDRE com a empreses SUPOSADAMENT PROFESSIONALS DEL DISSENY WEB, han estat fent pàgines web per a clients nostres en els últims mesos, quan tothom al sector ja era coneixedor del problema, ocultant tota aquesta informació als clients, i utilitzant de vegades 20, 30 o 40 plugins de pagament.
I aquest és el GRAN PROBLEMA que tenen molts clients ara mateix: Que tenen una web en un hosting de 170 euros l’any, que requerirà el pagament de 600 euros l’any el plugins de WordPress.
Insistim, no sabem si és el teu cas, per sort a moltes webs, hem entrat, hem actualitzat el WordPress i els 4 plugins habituals, tot ha funcionat a la primera i no cal pagar res.
Cal actualitzar els plugins sí o sí
Si no pagues, el plugin no s’actualitza, i al cap de poques setmanes, la teva web acaba caient per 2 motius:
- Pot ser víctima dels atacs que vénen de l’exterior perquè un hacker ha detectat aquest plugin és vulnerable i està sense actualitzar.
- Pot deixar de funcionar per incompatibilitats del propi wordpress o amb altres plugins que sí que s’han actualitzat.
La posició típica de molts clients és pensar “la meva web és molt petita, no l’atacaràn”. Pensar això avui dia és un gran error. Hi ha milers, potser milions de robots a internet, que cada dia escanegen automàticament milers de milions de pàgines web buscant vulnerabilitats. Si tens plugins desactualitzats, no es tracta de si et hackejaran o no, només es tracta de quant trigaran, i hem vist casos en que webs noves, han estat tombades i totalment hackejades en menys de 2 dies a partir de la data de publicació perquè la persona que les va fer va utilitzar versions vulnerables dels plugins.
Tot plugin instal·lat a WordPress es pot desinstal·lar, i en la majoria de casos la web perdrà alguna funcionalitat, però continuarà funcionant.
Per què es hackejen les webs?
Busquen: robar dades, correus electrònics, contrasenyes de wordpress que potser han estat utilitzades per a altres serveis, dades de clients, però sobretot busquen infectar la web amb virus que després s’utilitzen per atacar remotament empreses amb ransomware. D’aquesta manera el hacker està ocult i la policia en seguir la pista del virus arriba a la web infectada. Sí, de tant en tant arriben peticions de la policia i de certs organismes de control d’internet que ens demanen les dades dels propietaris de les webs i fins i tot que les eliminem.
Com et pot ajudar INFOAL?
Tot i que no és la nostra feina, aquests dies ens hem vist obligats a informar-vos de tots aquells sistemes de protecció i petits canvis que puguin ajudar els propietaris de Webs de WordPress a estar protegits. Aquests consells, es poden trobar a centenars de pàgines web i videotutorials de youtube.
A part dels obvis i típics (mantenir-ho tot sempre actualitzat, fer servir contrasenyes segures, canviar-les de manera periòdica, desinstal·lar qualsevol plugin que no utilitzis, no utilitzar l’usuari admin…), hi ha 5 plugins que a partir d’ara considerem que són totalment obligatoris per a qualsevol web WordPress (són aquests 5, i no altres equivalents):
- Wordfence Security Firewall, el firewall més eficient, que més atacs bloqueja i que menys problemes dóna (nota, un cop instal·lat Wordfence, molts clients han vist reflectits als informes que la seva web estava sent víctima de milers d’intents d’accés des de països de tot el món cada dia, aquest és part de l’origen de tot el problema.)
- Disable XML-RPC, bloqueja un dels tipus d’atac més usats avui dia.
- Heartbeat control, redueix la càrrega de les tasques ocultes del wordpress.
- Query Analizer, per veure el temps de càrrega i els plugins que t’estan donant problemes de lentitud.
- WP-Optimize, el plugin de memòria cau més eficient i poc problemàtic.
Amb aquests plugins instal·lats, el risc que et tombin la web es redueix notablement, el rendiment millora i és més fàcil saber d’on venen els problemes de lentitud quan apareixen.
Per descomptat, tant per aquests plugins com per tots els altres, les actualitzacions automàtiques han d’estar activades.
Amb molt d’esforç, hem pogut estabilitzar la situació de la majoria de Webs de clients instal·lant plugins de protecció, i instal·lant actualitzacions de manera massiva, excepte en aquells plugins que requereixen subscripció.
Si aquest és el teu cas, i la teva web té plugins d’aquest tipus, hauràs de prendre la decisió de què fer amb aquests plugins, però si no s’actualitzen la web continuarà caient cada pocs dies.
Conclusions
- Tots els propietaris de webs fetes a WordPress esteu en la mateixa situació.
- Aquells propietaris que ja mantenien les WordPress actualitzades, aquests dies no han tingut cap problema.
- A partir d’ara, algú ha d’entrar-hi periòdicament per instal·lar totes les actualitzacions. Si tu, com a propietari de la web, no vols o no ho pots fer, hauràs de contractar algú perquè ho faci.
- Aquesta tasca pot ser ràpida i senzilla, o complicada i problemàtica, tot dependrà de quins plugins tinguis instal·lats.
- Nosaltres som l’empresa que ofereix el servei de Hosting, i per tant no tenim res a veure ni tenim cap control ni responsabilitat sobre com estan fetes les pàgines web que estan publicades als nostres servidors. Aquesta responsabilitat és de la persona que ha creat la web. Si aquesta persona es desentén, la responsabilitat és del client.
- La nostra recomanació és que, si fa poc que un dissenyador web ha creat la teva pàgina, parlis amb ell i pactis qui s’ha de fer càrrec d’aquesta feina, i sobretot del pagament de les subscripcions dels plugins en cas que en tinguis.
- Si en el teu cas, tu mateix et vas fer la web, pots optar per pagar les subscripcions, o bé desinstal·lar els plugins de pagament, però a partir d’ara, cal anar entrant per actualitzar cada pocs dies.
Tot i que (torno a insistir) aquesta no és la feina de l’empresa de hosting, davant del gran nombre de clients que s’han vist sorpresos per aquesta situació, i no tenen ningú a qui acudir, ens hem vist obligats a oferir estudis personalitzats per a cada cas.
Si aquest és el teu cas, pots sol·licitar-nos pressupost, entrarem a la teva web, veurem quins plugins tens instal·lats, quant valen les seves subscripcions, i et farem un pressupost detallat perquè sàpigues quant costarà que la teva web segueixi en funcionament.
En alguns casos interessarà pagar, en altres interessarà desinstal·lar-los, però al final totes les webs tenen una solució o una altra.
Per a aquells casos més desesperats, hi ha la possibilitat (per a aquelles webs que ja mai més es modifiquin), de convertir-les a un sistema totalment estàtic, sense WordPress, i que no suposa cap risc de seguretat en el futur.
Solucions, n’hi ha, però cada web és diferent. Anirem atenent les peticions mentres sigui possible, prioritzant que les webs afectades segueixin en funcionament.